Capítulo 7

RAPHAEL DE SOUZA
LARIÇA NUNES COUTINHO LYRA

Sistema de Informação – Prof Tavares

 PHISHING

São enviados emails que alegam ser de um

banco, empresa de cartão de credito,
varejista ou outra empresa, e direcionam o
destinatário a uma outra pagina que solicita a
inserção de informações vitais. A partir dai,
os golpistas usam tais informações para, por
exemplo, esvaziar contas bancarias, ou
vendem essas informações para pessoas que
fazem isso.
Sistema de Informação – Prof Tavares
 PHISHING

Ações de Proteção
As empresas informam aos seus clientes que
não mandam tais emails.

Sistema de Informação – Prof Tavares

 Conceitos sobre Segurança

Segurança consiste em políticas,

procedimentos e medidas técnicas para
impedir acesso não autorizado, alteração,
roubo ou danos físicos a sistemas de
informação.

Sistema de Informação – Prof Tavares

 Conceitos sobre Segurança

Controles consistem em todos os métodos,

políticas e procedimentos organizacionais
que garantem a segurança dos ativos da
organização, a precisão e a confiabilidade de
seus registros contábeis e a adesão
operacional aos padrões administrativos.

Sistema de Informação – Prof Tavares

 Conceitos sobre Segurança

Ativos são os bens e direitos que a empresa

tem num determinado momento, resultante
de suas transações ou eventos passados da
qual futuros benefícios econômicos podem
ser obtidos. Exemplos de ativos incluem
caixa, estoques, equipamentos e prédios.

Sistema de Informação – Prof Tavares

 Vulnerabilidades

Origens de ameaças

Fatores técnicos
Fatores Organizacionais
Fatores Ambientais

Tais ameaças podem ser agravadas por

decisões administrativas erradas.

Sistema de Informação – Prof Tavares

 Ambiente de Computação
Cliente/Servidor Multicamadas

Sistema de Informação – Prof Tavares

 Desafios da Segurança sem Fio

Tecnologias
Baseadas em transmissão em
radiofrequencias;
Bluetooth;
Wi-Fi;
Ataques
Invasão (fácil fazer varredura das faixas de
radiofrequencia);
Escutas;

Sistema de Informação – Prof Tavares

Desafios da Segurança sem Fio

Sistema de Informação – Prof Tavares

 Software Mal-Intencionado

Programas de software mal-intencionados são

designados malware e incluem uma variedade
de ameaças.

Sistema de Informação – Prof Tavares

 Software Mal-Intencionado

Vírus de Computador é um programa espúrio

que se anexa a outros programas ou arquivos
de dados a fim de ser executado, geralmente
sem conhecimento nem permissão do usuário.

Sistema de Informação – Prof Tavares

 Software Mal-Intencionado

Worms são programas de computador

independentes que copiam a si mesmos de um
computador para outro por meio de uma rede.

Sistema de Informação – Prof Tavares

 Software Mal-Intencionado

Cavalo de Tróia é um software que parece

benigno, mas depois faz algo diferente do
esperado.

Sistema de Informação – Prof Tavares

Software Mal-Intencionado

Sistema de Informação – Prof Tavares

 Ataques

Alvos
Sites de Leilão Eletrônicos
Serviços Financeiros
Processadores de Pagamento On-line

Sistema de Informação – Prof Tavares

Prejuízos de Ataques

Sistema de Informação – Prof Tavares

 Crimes de Informática e
Ciberterrorismo

Crimes de informática são “quaisquer

violações da legislação criminal que
envolvem um conhecimento de tecnologia
da informática em sua perpetuação,
investigação ou instauração de processo”.
Departamento de Justiça dos Estados Unidos

Sistema de Informação – Prof Tavares

Crimes de Informática e
Ciberterrorismo

Sistema de Informação – Prof Tavares

 Crimes de Informática e
Ciberterrorismo
Phishing (Roubo de Identidade)

Evil Twin (gêmeos do mal) são redes sem fio

que fingem oferecer conexões wi-Fi
confiáveis à Internet.
Pharming redireciona os usuários para uma
página web falsa, mesmo quando a pessoa
digita o endereço correto da página web no
seu navegador.
Sistema de Informação – Prof Tavares
 Crimes de Informática e
Ciberterrorismo

Outras práticas que, apesar de não serem

considerados crimes, são antiéticos.

Uso indevido do computador

Spam

Sistema de Informação – Prof Tavares

 Ameaças Internas

Engenharia Social
Intrusos mal-intencionados em busca de
acesso ao sistema podem enganar
funcionários fingindo ser membros legítimos
da empresa; assim, conseguem fazer com
que eles revelem sua senha.

Sistema de Informação – Prof Tavares

 Gerenciamento de Registros
Eletrônicos

Consistem em políticas, procedimentos e

ferramentas para gerenciar a retenção, a
distribuição e o armazenamento de registros
eletrônicos.

Sistema de Informação – Prof Tavares

 Gerenciamento de Registros
Eletrônicos

Lei Americana de Responsabilidade e

Portabilidade dos Seguros-Saúde(HIPAA)

Lei Gramm-Leach-Bliley

Lei Sarbanes-Oxley

Sistema de Informação – Prof Tavares

 Prova Eletrônica

Hoje, muitas provas em casos criminais,

crimes de informática e casos civis estão em
formato digital.

Um exemplo comum é o email.

Sistema de Informação – Prof Tavares

 Perícia Forense Computacional

Procedimento científico de coleta, exame,

autenticação, preservação e análise de dados
mantidos em - ou recuperados por – meios
de armazenamento digital, de tal maneira
que as informações possam ser usadas como
prova em juízo.

Sistema de Informação – Prof Tavares

 ISO 17799

Um conjunto de padrões internacionais para

segurança e controle.

Sistema de Informação – Prof Tavares

 Avaliação de Risco

Avaliação de risco determina o nível de risco para

a empresa caso uma atividade ou um processo
específico não sejam controlados adequadamente.

Sistema de Informação – Prof Tavares

 Downtime

Termo usado para designar os períodos em que

um sistema não está operante.

Sistema de Informação – Prof Tavares

Sistema de Informação – Prof Tavares
 Política de Segurança

É uma declaração que estabelece uma hierarquia

para os riscos de informação e identifica metas de
seguranças aceitáveis, assim como os mecanismos
para atingi-las.

Sistema de Informação – Prof Tavares

 CSO

Chief Security Office: Quem cuida das políticas

de seguranças de uma empresa.

Sistema de Informação – Prof Tavares

 Política de Uso Aceitável

Acceptable Use Policy – AUP: define os usos

aceitáveis dos recursos de informação e do
equipamento de informática da empresa.

Sistema de Informação – Prof Tavares

 Políticas de Autorização

Determinam diferentes níveis de acesso dos ativos

de informação para diferentes níveis de usuários.

Sistema de Informação – Prof Tavares

 Sistemas de Gerenciamento de
Autorização

Estabelecem onde e quando um usuário terá

permissão para acessar determinadas partes de um
site ou de um banco de dados corporativo.

Sistema de Informação – Prof Tavares

Sistema de Informação – Prof Tavares
 Plano da recuperação de desastres

Inclui estratégias para restaurar os serviços de

computação e comunicação após eles terem
sofrido uma interrupção causada por eventos.

Sistema de Informação – Prof Tavares

 Plano de continuidade de negócios

Concentra-se em como a empresa pode restaurar

suas operações após um desastre.

Sistema de Informação – Prof Tavares

 MSSP

Provedores de Serviços de Segurança Gerenciada:

monitoram as atividades da rede e realizam testes
de vulnerabilidade e detecção de invasões.

Sistema de Informação – Prof Tavares

Dispositivos de Autentificação

Sistema de Informação – Prof Tavares

 Token

É um dispositivo físico, parecido com um cartão

de identificação, projetado para provar a
identidade do usuário.

Sistema de Informação – Prof Tavares

 Smart Card

Contém um chip formatado com a permissão de

acesso e outros dados.

Sistema de Informação – Prof Tavares

 Autenticação Biométrica

Fundamenta-se na medição de um traço físico ou

comportamental que torna cada indivíduo único.

Sistema de Informação – Prof Tavares

Proteção

Sistema de Informação – Prof Tavares

 Firewall

Filtragem de Pacotes: examina campos

selecionados nos cabeçalhos dos pacotes de dados
que fluem de lá para cá entre a rede confiável e a
Internet, examinando isoladamente pacotes
individuais.

Sistema de Informação – Prof Tavares

 Inspeção de Pacotes SPI

Oferece mais segurança, na medida em que

determina se os pacotes fazem parte de um
diálogo corrente entre um emissor e um receptor.

Sistema de Informação – Prof Tavares

 NAT

Network Address Translation: oferece uma

camada extra de proteção quando a filtragem de
pacotes estáticos e a inspeção de pacotes SPI
estiverem sendo usadas.

Sistema de Informação – Prof Tavares

 Filtragem de Aplicação Proxy

Examina o conteúdo de aplicação dos pacotes.

Sistema de Informação – Prof Tavares

 Sistemas de Detecção de Invasão

Ferramentas de monitoração contínua instaladas

nos pontos mais vulneráveis de redes
corporativas, a fim de detectar e inibir invasores.

Sistema de Informação – Prof Tavares

Sistema de Informação – Prof Tavares
 Criptografia

É o processo de transformar textos comuns ou

dados em um texto cifrado, que não possa ser lido
por ninguém a não ser o remetente e o destinatário
desejado.

Sistema de Informação – Prof Tavares

 Criptografia de Chave Simétrica

Estabelece uma sessão de Internet segura, o

remetente e o destinatário criam uma única chave
criptográfica, que é enviada ao destinatário.

Sistema de Informação – Prof Tavares

 Criptografia de Chave Pública

Usa duas chaves: uma compartilhada e outra

totalmente privada. Elas são matematicamente
relacionadas, de modo que os dados
criptografados com uma chave somente podem
ser decriptados pela outra.

Sistema de Informação – Prof Tavares

Sistema de Informação – Prof Tavares
 Assinatura Digital

É uma mensagem criptografada que somente o

remetente pode criar por meio de sua chave
privada. É usada para verificar as origens.

Sistema de Informação – Prof Tavares

 Certificados Digitais

São arquivos de dados usados para determinar a

identidade de pessoas e ativos eletrônicos, a fim
de proteger transações on-line. Ele usa uma
terceira parte que verifica a autoridade do
certificado.

Sistema de Informação – Prof Tavares

Sistema de Informação – Prof Tavares